Privacy policy

• Account-data (via Clerk): e-mailadres, naam, Clerk user-ID.
• Strava-data (na expliciete OAuth-toestemming): athleten-ID, naam, activiteiten (afstand, tijd, hartslag, pace, hoogtemeters, GPS-streams wanneer aanwezig), en bij ZIP-upload de bestanden uit jouw Strava-bulk-export.
• Afgeleide data: weekly mileage, VDOT, ACWR, training-load, archetypes, trainingsschema's.
• Technisch: standaard server-logs (IP, user-agent, request-pad) voor 14 dagen.

• Door jouw account-creatie via Clerk.
• Door jouw expliciete koppeling van Strava via OAuth (read-only scope activity:read_all). Zonder die toestemming halen we niets op.
• Door bestanden die je zelf uploadt (Strava-export ZIP, GPX/FIT).

• Jouw activiteiten visualiseren, analyses produceren (VDOT, archetypes, haalbaarheidsanalyses) en gepersonaliseerde trainingsschema's genereren.
• We gebruiken geen Strava-data voor AI/ML-modeltraining, voor advertenties, of voor verkoop aan derden — dit is contractueel verboden onder de Strava API Agreement en verboden door ons beleid.
• We delen jouw data nooit met andere gebruikers, ook niet geaggregeerd of geanonimiseerd.

• Alle verkeer over HTTPS (TLS).
• Strava OAuth-tokens worden symmetrisch versleuteld (Fernet) op de server opgeslagen.
• Database staat in Azure West-Europe; geen publieke directe toegang.
• Bij een data-incident informeren we je binnen 72 uur en Strava binnen 24 uur (zoals vereist door GDPR en de Strava API Agreement).

Je hebt het recht om op elk moment:

• Te bekijken welke data wij hebben — zie ook de "Download mijn data"-knop op de koppel-pagina (JSON-export).
• Toestemming in te trekken — gebruik "Ontkoppel Strava". Daarmee verwijderen we direct het token én alle Strava-afkomstige activiteiten. Training-plannen blijven behouden tenzij je je hele account verwijdert.
• Je account volledig te verwijderen — knop op profielpagina, of stuur een mail. Cascading delete: alles weg, inclusief plannen.
• Een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Als je toestemming intrekt via Strava zelf (App-instellingen), ontvangen wij een webhook en verwijderen we jouw data binnen 48 uur — conform de Strava API Agreement §2.14.6.

Strava-activiteiten bewaren we zo lang je gekoppeld bent en de service gebruikt. Bij ontkoppelen of account-verwijdering: direct weg. Server-logs: 14 dagen.

• Clerk (auth) — VS, GDPR-DPA in plaats.
• Microsoft Azure (hosting + database) — West-Europa.
• Strava (API bron) — gegevens worden opgehaald van Strava op basis van jouw toestemming.

Vragen, verzoeken of klachten: support@zplitz.run. We reageren binnen 30 dagen, meestal sneller.